Wirus Wall - основы. КАК работатет?

Для любителей просто поболтать

Wirus Wall - основы. КАК работатет?

Сообщение Музалёв Николай » 21 сен 2005, 11:41

Уважаемые коллеги!
Намедни меня занесло на WWW.TRENDMICRO.COM

Там бросились в глаза аппаратные антивирусные средства - железяка в размере коммутатора в 19" стойку.
Из флеш-демки видно, что стоит это чудо поперек потока данных (пакетов??) в сети и отлавливает вирусы, изолирует зараженные ПК и вообще - спасает мир. (Кто будет смотреть демку - попутный вопрос: они ее делали до 11 сент. , или сразу после?? Гы-гы...)

Осталось не очень ясно - как работает?
На сетевом уровне? на приложении? Как вообще можно отловить программное на уровне магистрали?

Если кто владеет вопросом - не сочтите за труд изложить основы или указать ссылку на.

Спасибо.
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Re: Wirus Wall - основы. КАК работатет?

Сообщение Аркадий Глазырин » 21 сен 2005, 14:48

Музалёв Николай писал(а):Там бросились в глаза аппаратные антивирусные средства - железяка в размере коммутатора в 19" стойку.
Из флеш-демки видно, что стоит это чудо поперек потока данных (пакетов??) в сети и отлавливает вирусы, изолирует зараженные ПК и вообще - спасает мир. (Кто будет смотреть демку - попутный вопрос: они ее делали до 11 сент. , или сразу после?? Гы-гы...)


Укажи флешку поточнее. Я её НЕ ВИЖУ. :cry:
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Re: Wirus Wall - основы. КАК работатет?

Сообщение Аркадий Глазырин » 21 сен 2005, 14:56

Музалёв Николай писал(а):Как вообще можно отловить программное на уровне магистрали?


1. Естественно, что через всевозможные VPN любой вирус пролезет незамеченным.
2. Ставим вирусоискалку в то место, где траффик без криптографии.
Вирусоискалка работает только по IP.
Через IPX может пролезть всё, что хочешь. Убиваем всё, кроме IP.
Открываем каждый пакет и смотрим сигнатуры.
3. Раз в сутки выпускается новая прошивка с новыми сигнатурами.
Первый год их можно получать бесплано.
Дальше бан. Разбанивание за денежку.

4. Полиморфные вирусы проходят свободно.
У них изменяемая сигнатура.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

Когда-то был такой ШеРиФ :)

Сообщение Мещеряков Андрей » 21 сен 2005, 15:51

subj
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Музалёв Николай » 21 сен 2005, 17:07

..НЕ ВИЖУ

СМОТРИ!!

Однако вопрос так и остался не очень раскрыт. Каким образом , анализируя IP-пакеты , найти вирус в WORD-документе, каковой документ передается этими IP-пакетами? (Которые могут идти вкривь и вкось, с ошибками и повторами, с нарушением порядка следования и непредсказуемыми паузами и тд...)
Ну, вычленить из массы пакетов тот, который несет фрагмент документа - это я еще понимаю.... А дальше?
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Dimerson » 21 сен 2005, 17:39

Музалёв Николай писал(а):
..НЕ ВИЖУ

СМОТРИ!!

Однако вопрос так и остался не очень раскрыт. Каким образом , анализируя IP-пакеты , найти вирус в WORD-документе, каковой документ передается этими IP-пакетами? (Которые могут идти вкривь и вкось, с ошибками и повторами, с нарушением порядка следования и непредсказуемыми паузами и тд...)
Ну, вычленить из массы пакетов тот, который несет фрагмент документа - это я еще понимаю.... А дальше?


А не есть ли данный девайс application proxy [http etc] ? ибо проверку на вирусы имхо возможно сделать только на уровне приложения.

Ну или чтонить с проверкой по CVP ?
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Сергей.М. » 22 сен 2005, 05:58

Николай, проще говоря данная система работает по принципу IDS. База данных содержит сигнатуры известных вирусов, и каждый проходящий пакет разбирается и сравнивается на предмет наличия данных сигнатур.
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Корнелюк Алексей » 22 сен 2005, 09:56

Сергей.М. писал(а):Николай, проще говоря данная система работает по принципу IDS. База данных содержит сигнатуры известных вирусов, и каждый проходящий пакет разбирается и сравнивается на предмет наличия данных сигнатур.


а как же тогда быть с IP-пакеты. Которые могут идти вкривь и вкось, с ошибками и повторами, с нарушением порядка следования и непредсказуемыми паузами и тд...? Кто сказал, что сигнатура будет вся целиком в одном пакете, а не порезана на 2 или больше кусков?
Корнелюк Алексей
 
Сообщения: 74
Зарегистрирован: 04 июл 2002, 13:41
Откуда: Минск

Сообщение Dimerson » 22 сен 2005, 11:31

Корнелюк Алексей писал(а):
Сергей.М. писал(а):Николай, проще говоря данная система работает по принципу IDS. База данных содержит сигнатуры известных вирусов, и каждый проходящий пакет разбирается и сравнивается на предмет наличия данных сигнатур.


а как же тогда быть с IP-пакеты. Которые могут идти вкривь и вкось, с ошибками и повторами, с нарушением порядка следования и непредсказуемыми паузами и тд...? Кто сказал, что сигнатура будет вся целиком в одном пакете, а не порезана на 2 или больше кусков?



Может там устроено нечто вроде transparent-proxy's ?

То есть на клиенте ничего не правим - и там куда указывает default route прокси ловит все исходящие на нужный порт и выступает как прокси ? Transparent HTTP например есть в BM ...
Аватара пользователя
Dimerson
 
Сообщения: 2791
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Мещеряков Андрей » 22 сен 2005, 12:15

Корнелюк Алексей писал(а):а как же тогда быть с IP-пакеты. Которые могут идти вкривь и вкось, с ошибками и повторами, с нарушением порядка следования и непредсказуемыми паузами и тд...? Кто сказал, что сигнатура будет вся целиком в одном пакете, а не порезана на 2 или больше кусков?

Никто не обещал :) Но можно пользоваться, как говорят математические умы необходимыми, а не достаточными признаками :lol: вирусных сигнатур. Параноидальный режим, так сказать... И ни один писатель антивирусов не обещал "что ловить будем все" А все проблемы доставки пакетов решаемы транспортным слоем этой штуки - его не может не быть в любом случае. Наверняка внутри не один метр ОЗУ для буферизации, сортировки и анализа.

ЗЫ: А вообще-то решение любопытное, если не сказать привлекательное.
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Ну что вы все гадаете....

Сообщение Павел Гарбар » 22 сен 2005, 12:36

Я Коле посоветовал спросить у ближайших поставщиков TrendMicro - они могут больше часа рассказывать...
Вкратце для файлов делается так:
1. Понимается что передается файл
2. Файл потихоньку кэшируется
3. пользователю отдается в час по чайной ложке, чтоб не обрывалось соединение (но и заразиться еще нельзя)
4. когда файла закачано достаточно для анализа на вирусы - начинается обычная антивирусная проверка
5. если файл чист, то его остатки быстро отдаются пользователю
Павел Гарбар
 
Сообщения: 691
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Сообщение Сергей.М. » 23 сен 2005, 06:38

Корнелюк Алексей писал(а):
Сергей.М. писал(а):Николай, проще говоря данная система работает по принципу IDS. База данных содержит сигнатуры известных вирусов, и каждый проходящий пакет разбирается и сравнивается на предмет наличия данных сигнатур.


а как же тогда быть с IP-пакеты. Которые могут идти вкривь и вкось, с ошибками и повторами, с нарушением порядка следования и непредсказуемыми паузами и тд...? Кто сказал, что сигнатура будет вся целиком в одном пакете, а не порезана на 2 или больше кусков?


В IP пакете вообщето установлен флаг, если он фрагментирован. Номера фрагментов известны. Что мешает по лучить N фрагментированных пакетов и и сделать их анализ?
Аватара пользователя
Сергей.М.
 
Сообщения: 181
Зарегистрирован: 06 июн 2002, 08:14

Сообщение Андрей Тр. aka RH » 23 сен 2005, 07:36

Интересно, и на какую нагрузку такая коробка рассчитана ? Ну т.е. сколько человек / коннектов оно способно одновременно обрабатывать ? Я так понимаю, что мозг у нее должен быть весьма производительный, ведь прокачиваемые-то файлы могут быть упакованы в самых различных форматах - хоть в тех же IRC, флэшки, апплеты всякие ( про мыло я уже не говорю - очевидно, проверять можно только банальные аттачменты типа вордовских файлов ? ). Оно же должно не только на лету собирать фрагменты файлов из пакетов, достаточные для анализа сигнатур, но еще и распознавать внутренние форматы, чтобы искать сигнатуры действительно в содержимом самого файла, а не в упаковке.

Скорее, оно рассчитано на "оружие массового поражения" типа всяких M$Blaster и оперативное прикрытие сетевого периметра за счет постоянных обновлений - на случай, когда новые "подарки" поутру хлынут через очередную открытую дырку в ОС или в браузерах. А если пользователь в какой-нить р2р скачает хитрого замаскированного трояна, то, скорее, это работа для антивируса на местах ( аналогично для почты - на почтовых серверах ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Корнелюк Алексей » 23 сен 2005, 17:41

Сергей.М. писал(а):В IP пакете вообщето установлен флаг, если он фрагментирован. Номера фрагментов известны. Что мешает по лучить N фрагментированных пакетов и и сделать их анализ?
это-то да, только я не фрагментацию имел в виду. Т.е. не ту фрагментацию, которая возникает по причине разных MTU на пути пакетов. При попадании на транспортный уровень данные нарезаются в соответствии с максимальным объёмом для одного TCP(UDP) пакета, вот в этот момент сигнатура может быть разделена на 2 и более (если сигнатура оказывается длинее, чем размер пакета, не знаю - может ли такое быть) части. И как тогда без буферизации её обнаружить?
Корнелюк Алексей
 
Сообщения: 74
Зарегистрирован: 04 июл 2002, 13:41
Откуда: Минск

Сообщение Михаил Григорьев » 24 сен 2005, 11:14

Вообще говоря коллеги, если речь идёт о сигнатурном анализе то большинство антивирусописателей и разработчиков сигнатурного анализа склоняются к тому что сигнатурный анализ исчерпал себя!!! Если в сообществе вирусописателей найдется воистину грамотный человек, а такие есть, то не загорами написание вирусов и изменяющейся сигнатурой и отследить такие вещи просто будет невозможно! Так что на мой взгляд, как бы не работала железка ТрендМикро, в скором времени её целесобразность может резко упасть ниже плинтуса пола!
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

След.

Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron